En falske COVID-19-kontaktsporingsapp skjuler Unicorn Ransomware
Normalt kan du fortælle meget om en cyberkriminel fra deres angreb. De tricks, de bruger, giver os ofte en god idé om, hvor sofistikeret modstanderen er, men en nylig kampagne, der distribuerede Unicorn-løseprogrammet, beviste, at udseendet nogle gange kan vildlede.
Table of Contents
Unicorn-løseprogrammet rammer italienske apoteker
Angrebet blev først opdaget af en sikkerhedsforsker, der kaldte kælenavnet JamesWT. Det ser ud til at være målrettet på italienske apoteker, og det drager fordel af COVID-19-krisen for at narre brugerne til at installere en relativt ny ransomware-stamme kaldet Unicorn.
Også kendt som F *** enhjørning, malware ser ud til at være oprettet specielt til formålet, og det ser ud til, at angrebet er stort nok til at berettige en rådgivning fra Italiens Computer Emergency Response Team (CERT).
Hackerne har overgået sig selv, hvad angår social engineering
Det starter med en e-mail, der hævdes at komme fra den italienske farmaceutforening. Det siger, at Federation lancerer en beta-version af en pc-app, der leverer data i realtid om spredningen af den nye coronavirus. Der er et downloadlink, og hackerne har brugt en teknik kaldet typosquatting for at få webadressen til at se mere overbevisende ud.
Den italienske farmaceutforbunds websted er http://www.fofi.it/, og den eksekverbare fil er hostet på hxxtp: //www.fofl.it (med en lille bogstav "L" i stedet for et "i"). Ved at bruge et visuelt lignende domæne er det mindre sandsynligt, at offeret bemærker, at noget er galt. Der er endnu flere taktikker for at holde opmærksomheden væk fra den ondsindede aktivitet.
Når den ondsindede fil først er lanceret, viser et kort med data, der ser ud til at være kopieret fra Johns Hopkins University. Det er på ingen måde en ny taktik, men det er næsten sikkert at holde offeret distraheret, mens ransomware krypterer den inficerede pc's filer.
Indtil videre ser det ud til, at angrebet er blevet lanceret af en professionel hacker, der ved, hvad de laver. Da eksperterne dissekerede løseprogrammet og så, hvordan det fungerer, indså de imidlertid, at angriberen sandsynligvis ikke er så sofistikeret.
Unicorn ransomware er ikke en sofistikeret trussel
Forskerne har mistanke om, at angriberen er italiensk. Der er en tydelig mangel på grammatiske fejl i phishing-e-mailen, og nogle artefakter der er tilbage i koden antyder, at den person, der skrev malware, kaldes Leonardo.
Leonardo ser ud til at være en fan af den græske mytologi. Ransom-meddelelsen meddeler, at slangen på Asclepius 'personale er forvirret, og at en ny æra er ved at komme. Krypteringen af filerne sammenlignes med Prometheus 'ild, og offeret får at vide, at ved at betale en € 300 (ca. $ 330) løsepenge, får de en chance for at indløse sig selv for "år med synder og misbrug."
Løsepenge-note inkluderer en bitcoin-adresse, hvor pengene skal gå, og der er også en e-mail-adresse, som ofrene skal bruge for at komme i kontakt med hackerne, når løsepenge er betalt. En hurtig kontrol afslører, at indtil videre har bitcoin-adressen, der er inkluderet i løseposten, ikke registreret nogen transaktioner, hvilket er lige så godt, fordi hackernes e-mail-adresse ser ud til at være ugyldig. Det ser ud til, at Leonardo (eller hvem der sidder på den anden side af Unicorn-ransomware) absolut ikke har til hensigt at hjælpe dig med at få dine filer tilbage.
Heldigvis behøver du ikke rigtig deres hjælp. En analyse af ransomware viser, at adgangskoden, der bruges til at dekryptere filerne, sendes i ren tekst og kan hentes fra kommunikationslogfilerne.
Manglerne i Unicorn ransomware kompenserer til en vis grad for de smarte socialtekniske teknikker og gør angrebet lidt mindre farligt. Kampagnen skal dog ikke undervurderes. På ethvert tidspunkt kan angriberen skifte til en mere kraftfuld ransomware-stamme og forårsage alle mulige problemer.
